Saltar al contenido principal
SGSI

¿Por qué es beneficioso implementar un SGSI en tu organización?

SGSI

SGSI

El Sistema de Gestión de Seguridad de la Información (SGSI) basado en la norma ISO 27001 tiene el objetivo asegurar que las empresas tienen implementados todos los controles adecuados sobre la confidencialidad, integridad y disponibilidad de la información, para proteger la información de las partes interesadas, se deben incluir clientes, empleados, socios comerciales y la sociedad en general.

El cumplimiento de la norma ISO 27001 puede ayudar a las empresas a demostrar a sus clientes o socios la seriedad con la que abordan la seguridad de la información. La certificación acreditada en la norma ISO 27001, es una potente demostración del compromiso de la empresa durante la gestión de la seguridad de la información.

La implantación del Sistema de Gestión de Seguridad de la Información (SGSI) garantiza el tratamiento de los problemas de seguridad de la información según las mejores prácticas actualmente aceptadas. Es necesario contar con el sistema de gestión certificado bajo la ISO 27001 por un organismo de certificación. Les invitamos a leer el siguiente artículo para ampliar información ISO 27001 ¿Cuáles son los requisitos de seguridad?

Directrices de la OCDE

Las directrices de la OCDE (Organización para la Cooperación y el Desarrollo Económico) tiene el objetivo de crear conciencia sobre el riesgo de los sistemas de información y las redes. Es necesario establecer políticas, prácticas, medidas y procedimientos disponibles para hacer frente a estos riesgos y la necesidad de adoptar la aplicación.

Los nueve principios de las directrices se aplican en todos los niveles políticos y operativos que rigen la seguridad en los sistemas de información y en las redes.

La norma ISO 27001 proporciona un marco de SGSI para la implementación de los principios por los que se rige el modelo PHVA (Planificar-Hacer-Verificar-Actuar) y los procesos del sistema de gestión:

  • Concienciación: los participantes deben ser conscientes de la necesidad de la seguridad en los sistemas de información, y de cómo pueden ayudar a mejorar la seguridad.
  • Responsabilidad: todos los participantes son responsables de controlar la seguridad de los sistemas de información.
  • Respuesta: los participantes deben actuar de forma oportuna y cooperativa para prevenir, detectar y responder a los incidentes de seguridad que se produzcan.
  • Evaluación del riesgo: los participantes deben realizar auditorías de riesgos.
  • Diseño e implantación de la seguridad: los participantes tiene que introducir la seguridad como elemento esencial de los sistemas de información y de las redes.
  • Gestión de la seguridad: los participantes deben adoptar un enfoque integral para la gestión de seguridad.
  • Evaluación: los participantes debe revisar la seguridad de los sistemas de información y de las redes, además se deben introducir las modificaciones pertinentes en las políticas, prácticas, medidas y procedimientos de seguridad.

Cómo comenzar

Sea cual sea el estado actual de su empresa, el punto de partida para la implantación de un SGSI es obtener el compromiso de gestión y apoyo. Lo ideal sería que la motivación proviniese de la alta dirección. El éxito se consigue más fácilmente si la dirección se compromete con los motivos de la implantación de un SGSI.

Planificación para el éxito

El éxito es más probable si desarrolla un plan realista y con sentido, es necesario medir los resultados según lo planificado y modificar las circunstancias imprevistas.

El plan debe reconocer que el desarrollo del SGSI requiere tiempo y esfuerzo, además debe proporcionar los recursos necesarios. Generalmente la responsabilidad de la seguridad de la información suele recaer en el director de TI, pero la seguridad de la información tiene un impacto mucho más amplio que el de los sistemas de TI, se incluye a los trabajadores, la seguridad, la seguridad física y el cumplimiento legal.

Como la norma ISO 27001 se encuentra alineada con la norma ISO 9001, si tu empresa tiene un Sistema de Gestión de Calidad implantado debe aprovechar esta experiencia como base para el SGSI.

Comprensión de la norma

El primer paso es familiarizarse con la norma ISO 27001, entender todos los criterios que se deben cumplir, la estructura de la norma y la estructura del SGSI y la documentación asociada.

La norma consta de dos partes diferentes:

  • ISO 27002. No es una norma en sí, sino un código de buenas prácticas que describe los objetivos y controles de seguridad que pueden seleccionar e implantar en su empresa para poder gestionar todos los riesgos específicos de la seguridad de la información.
  • ISO 27001. Es la norma que ofrece los requisitos para implementar un SGSI, ofrece los requisitos que deben ser cumplidos y mediante los cuales el organismo de certificación auditará a la empresa. la norma incluye todos los elementos comunes de todos los sistemas de gestión.

Procesos de Gestión

Los procesos son críticos a la hora de realizar una correcta implantación de un SGSI. Si tu empresa tiene implantado un sistema de gestión, los procesos pueden resultar familiares. La forma más eficaz de proceder es integrando todos los requisitos de seguridad de la información en un sistema de gestión existente, asegurando que la experiencia en seguridad de la información se encuentra disponible cuando y donde sea necesario.

Si por el contrario, es la primera vez que implanta un proceso, debe tener en cuenta todos los elementos de gestión de la norma ISO 27001. La alta dirección tiene un papel fundamental en la eficacia del sistema de gestión. Se tienen que asignar los recursos adecuados para el desarrollo, implantación y seguimiento del SGSI. Las auditorías internas verifican que el sistema de gestión funciona según lo previsto e identifica oportunidades de mejora. La revisión por la dirección permite analizar el correcto funcionamiento del sistema de gestión y su aportación al negocio.

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes. Facilita el cumplimiento de los requisitos legales que les repercuten.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba